Sicherheit

Zuletzt aktualisiert: 2026-03-26

Wir nehmen die Sicherheit Ihrer persönlichen und finanziellen Daten sehr ernst. Diese Seite erläutert die technischen und organisatorischen Massnahmen, die wir zum Schutz Ihrer Informationen einsetzen. Einzelheiten darüber, welche Daten wir erheben und wie wir sie verwenden, finden Sie in unserer Datenschutzerklärung.

1. Infrastruktur & Hosting

My Finance Tools läuft auf vertrauenswürdiger, unternehmenstauglicher Infrastruktur:

  • AnwendungshostingVercel, eine SOC 2 Typ II zertifizierte Plattform mit globalem Edge-Netzwerk und automatischem DDoS-Schutz.
  • DatenbankSupabase (PostgreSQL), ein SOC 2 Typ II zertifizierter Anbieter. Ihre Daten werden in einer verwalteten, dedizierten Datenbankinstanz gespeichert.
  • ZahlungsabwicklungStripe, ein PCI-DSS Level 1 zertifizierter Zahlungsdienstleister — die höchste Stufe der Zahlungssicherheitszertifizierung. Wir speichern niemals Kreditkartennummern oder vollständige Zahlungsdaten auf unseren Servern.

2. Verschlüsselung

  • Während der Übertragung — Jede Kommunikation zwischen Ihrem Browser und unseren Servern ist mit TLS/HTTPS verschlüsselt. Keine Daten werden jemals im Klartext übertragen.
  • Im Ruhezustand — Die Datenbank ist vom Hosting-Anbieter (Supabase) mit AES-256-Verschlüsselung im Ruhezustand verschlüsselt.
  • Passwörter — Wir speichern Passwörter niemals im Klartext. Die Authentifizierung wird von Supabase Auth verwaltet, das branchenübliches bcrypt-Hashing verwendet.

3. Datenisolation & Zugriffskontrolle

Ihre Daten sind durch mehrere Schutzebenen strikt von anderen Benutzern isoliert:

  • Row-Level Security (RLS) — Jede Datenbanktabelle ist durch PostgreSQL Row-Level Security-Richtlinien geschützt. Diese werden auf Datenbankebene durchgesetzt, d.h. jede Abfrage ist auf Ihre authentifizierte Benutzer-ID beschränkt. Selbst im Falle einer Schwachstelle auf Anwendungsebene verhindert die Datenbank selbst den Zugriff auf die Daten anderer Benutzer.
  • Authentifizierung erforderlich — Alle Endpunkte für persönliche und finanzielle Daten erfordern eine gültige, authentifizierte Sitzung. Nicht authentifizierte Benutzer können auf keine gespeicherten Daten zugreifen.
  • Minimale Berechtigung — Die Anwendung verwendet einen eingeschränkten API-Schlüssel (Anon-Key) für browserseitige Operationen. Administrative Schlüssel werden nur serverseitig verwendet und sind dem Browser niemals zugänglich.

4. Authentifizierung

Wir unterstützen sichere Anmeldemethoden:

  • E-Mail & Passwort — mit einer Mindestlänge für Passwörter. Passwörter werden vor der Speicherung mit bcrypt gehasht.
  • Google OAuth — delegiert die Authentifizierung an Googles sichere Infrastruktur. Wir erhalten nur Ihren Namen und Ihre E-Mail-Adresse — niemals Ihr Google-Passwort.
  • Sitzungsverwaltung — Sitzungen sind tokenbasiert mit automatischer Aktualisierung. Die Sitzungsgültigkeit wird erneut geprüft, wenn Sie zur Anwendung zurückkehren.

5. Rechner-Sicherheit

Wenn Sie unsere Rechner verwenden, ohne eingeloggt zu sein, werden keine Daten an unsere Server gesendet. Alle Berechnungen finden ausschliesslich in Ihrem Browser statt. Nichts wird gespeichert, verfolgt oder übertragen.

6. Datenweitergabe an Dritte

Wir verkaufen, vermieten oder teilen Ihre persönlichen oder finanziellen Daten nicht mit Dritten zu Marketing- oder Werbezwecken. Die von uns genutzten Drittanbieter-Dienste beschränken sich auf das unbedingt Notwendige:

  • Supabase — ausschliesslich Datenbank und Authentifizierung
  • Vercel — Anwendungshosting und cookielose, anonymisierte Analysen
  • Stripe — ausschliesslich Zahlungsabwicklung
  • Google Analytics — ausschliesslich anonymisierte Nutzungsstatistiken (kann mit jedem Werbeblocker blockiert werden)

Keiner dieser Dienste erhält Ihre finanziellen Portfoliodaten. Aktien- und ETF-Kursabfragen erfolgen ohne benutzerbezogene Informationen.

7. Reaktion auf Datenschutzverletzungen

Im unwahrscheinlichen Fall einer Datenschutzverletzung, die Ihre persönlichen Informationen betrifft, verpflichten wir uns:

  • Betroffene Benutzer innerhalb von 72 Stunden nach Bekanntwerden der Verletzung zu benachrichtigen, gemäss DSGVO und geltenden Datenschutzbestimmungen.
  • Klare Informationen darüber bereitzustellen, welche Daten betroffen waren und welche Massnahmen wir ergreifen.
  • Sofortige Massnahmen zur Eindämmung der Verletzung und Verhinderung weiterer unbefugter Zugriffe zu ergreifen.

8. Kontolöschung

Sie haben das Recht, Ihr Konto jederzeit zu löschen. Dabei werden alle Ihre Daten dauerhaft und unwiderruflich gelöscht — einschliesslich Ihres Profils, aller Finanzkonten, Portfolio-Snapshots, Ziele und Erfolge. Dies wird durch kaskadierende Datenbanklöschungen durchgesetzt. Es gibt keine Aufbewahrungsfrist und keine Möglichkeit, gelöschte Daten wiederherzustellen.

9. Ihre Rechte

Nach DSGVO und Schweizer Datenschutzrecht haben Sie das Recht:

  • Ihre Daten über Ihr Konto-Dashboard einzusehen
  • Ihre Daten durch Kontaktaufnahme zu exportieren
  • Ihre Daten über Ihre Profileinstellungen zu korrigieren
  • Ihr Konto und alle zugehörigen Daten jederzeit zu löschen

10. Anwendbares Recht

My Finance Tools wird von der Schweiz aus betrieben. Ihre Daten werden gemäss dem Schweizer Datenschutzgesetz (nDSG) und der EU-Datenschutz-Grundverordnung (DSGVO) behandelt. Die vollständigen rechtlichen Bedingungen finden Sie in unserem Haftungsausschluss & AGB.

Fragen?

Wenn Sie Fragen oder Bedenken zu unseren Sicherheitspraktiken haben, kontaktieren Sie uns bitte. Wir geben Ihnen gerne weitere Informationen.